Was tun Sie, wenn Sie von einer vermeintlich legitimen IP-Adresse wie Google gehackt werden?

55

Früher wurde ich heute wegen verdächtiger Suchaktivitäten aufgefordert, ein CAPTCHA zu verwenden, wenn ich eine Google-Suche durchführe. Daher nahm ich an, dass auf einem PC in meinem Netzwerk ein Virus oder etwas anderes vorhanden ist.

Nach dem Stöbern bemerkte ich in meinen Router-Protokollen, dass es Unmengen von Verbindungen zu meinem Raspberry Pi gab, den ich als Webserver eingerichtet hatte - Port weitergeleitet auf 80 und 22 -, also zog ich die Karte heraus, schaltete diesen Port weiter und aus Diesmal wurde es als „ Honigtopf “ neu inszeniert und die Ergebnisse sind sehr interessant

Der Honigtopf berichtet , dass es erfolgreiche Versuche mit der Benutzername / Passkombination einzuloggen pi/ raspberryund protokolliert die IP -diese kommt in fast jedem zweiten und einige der IP-Adressen , wenn ich investigate soll Googles IP.

Ich weiß also nicht, ob es sich um „ weiße Hüte “ handelt oder was auch immer. Es scheint, dass dies eine illegale Einmischung ist. Sie tun nichts, nachdem sie sich angemeldet haben.

Hier ist ein Beispiel für eine IP-Adresse: 23.236.57.199

Grady-Spieler
quelle
17
Schauen Sie sich das an, insbesondere den Kommentar: whois.domaintools.com/23.236.57.199
Qantas 94 Heavy
5
Wenn Sie das Gerät ordnungsgemäß sichern, sollte dies Sie nicht betreffen. Dies ist eigentlich die Antwort auf die Frage: Was ist zu tun? Sichern Sie das Gerät.
USR
1
Ich habe die letzte Änderung rückgängig gemacht, da der Fokus darauf liegt, was zu tun ist, wenn Sie wissen, dass Sie angegriffen werden, und nicht darauf, wie Sie dies verhindern können ... was meiner Meinung nach an vielen Stellen dokumentiert ist ...
Grady Player
Ich hoffe, Sie verwenden die pi/raspberryKombination nur für Ihren Honigtopf. In dem Moment, in dem Sie es von außen zugänglich machen, sollte es etwas anständigeres haben.
@ Mast Pi ist nur Honeypot; Irgendwann ziehe ich einfach die Protokolle, erhalte eine neue IP und überarbeite sie
Grady Player

Antworten:

62

Ich weiß also nicht, ob es sich um „ weiße Hüte “ handelt oder was auch immer. Es scheint, dass dies eine illegale Einmischung ist. Sie tun nichts, nachdem sie sich angemeldet haben.

Sie gehen davon aus, dass Google selbst Ihren Server "angreift", obwohl Google in Wirklichkeit auch Webhosting- und Anwendungshosting-Dienste für die meisten Benutzer bereitstellt, die für deren Nutzung zahlen. Ein Benutzer, der diese Dienste nutzt, könnte also ein Skript / Programm haben, das das "Hacken" ausführt.

Das Durchführen einer Reverse-DNS-Record-Suche (PTR-Suche)23.236.57.199 bestätigt diese Idee weiter:

199.57.236.23.bc.googleusercontent.com

Sie können dies von der Befehlszeile in Mac OS X oder Linux aus wie folgt überprüfen:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Und das Ergebnis, das ich von der Befehlszeile in Mac OS X 10.9.5 (Mavericks) erhalte, ist:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Oder Sie könnten nur verwenden, +shortum wirklich nur die Kernantwort zu erhalten:

dig -x 23.236.57.199 +short

Welches würde zurückkehren:

199.57.236.23.bc.googleusercontent.com.

Der Basis-Domain-Name von ist googleusercontent.comeindeutig "Google User Content", von dem bekannt ist, dass er mit dem Google App Engine-Produkt "Platform as a Service" verbunden ist . Damit kann jeder Benutzer Code in Python-, Java-, PHP- und Go-Anwendungen erstellen und für seinen Dienst bereitstellen.

Wenn Sie der Ansicht sind, dass diese Zugriffe böswillig sind, können Sie mutmaßlichen Missbrauch direkt über diese Seite an Google melden . Stellen Sie sicher, dass Sie Ihre Rohprotokolldaten angeben, damit die Google-Mitarbeiter genau sehen können, was Sie sehen.

Nach alledem wird in dieser Antwort zum Stapelüberlauf erläutert, wie eine Liste der IP-Adressen abgerufen werden kann, die mit dem googleusercontent.comDomänennamen verbunden sind. Dies kann hilfreich sein, wenn Sie Zugriffe auf "Google User Content" von anderen Systemzugriffen filtern möchten.

JakeGould
quelle
39

Die folgenden Informationen, die mit dem Befehl abgerufen werden, whois 23.236.57.199erläutern, was Sie tun müssen:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.
Kasperd
quelle
3
Aus Gründen der Kürze empfohlen.
Baassssiiee